A security vulnerability has been detected in rowboatlabs rowboat up to 0.1.67. This impacts the function tool_call of the file apps/experimental/tools_webhook/app.py of the component tools_webhook. Such manipulation of the argument X-Tools-JWE leads to improper authentication. The attack may be performed from remote. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-6635 is an authentication bypass vulnerability in rowboatlabs rowboat up to version 0.1.67 affecting the tools_webhook component. The flaw allows remote attackers to manipulate the X-Tools-JWE argument to bypass authentication mechanisms.
تؤثر هذه الثغرة على مكون tools_webhook في rowboatlabs rowboat حتى الإصدار 0.1.67 حيث يمكن للمهاجمين البعيدين التلاعب برأس X-Tools-JWE لتجاوز آليات المصادقة. تم الكشف عن الاستغلال علناً والبائع لم يستجب للإشعارات الأمنية المبكرة.
ثغرة CVE-2026-6635 هي عبارة عن التفافة على المصادقة في rowboatlabs rowboat حتى الإصدار 0.1.67 تؤثر على مكون tools_webhook. تسمح الثغرة للمهاجمين البعيدين بمعالجة حجة X-Tools-JWE للالتفاف على آليات المصادقة.
Upgrade rowboatlabs rowboat to version 0.1.68 or later immediately. Implement network-level access controls to restrict access to the tools_webhook endpoint. Monitor and validate all X-Tools-JWE header values. Consider implementing additional authentication layers and JWT validation mechanisms.
قم بترقية rowboatlabs rowboat إلى الإصدار 0.1.68 أو أحدث على الفور. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية tools_webhook. راقب وتحقق من جميع قيم رأس X-Tools-JWE. فكر في تطبيق طبقات مصادقة إضافية وآليات التحقق من JWT.